J'avais deux serveurs W2000, un CPD et un secondaire, séparés de 1 000
km et reliés par un tunnel VPN à 1 Mb.
Tout marchait bien et chacun se connectait sur le CPD le plus proche.
Puis j'avais installé deux Xserves en remplacement, l'un maître OpenDir
ET CPD l'autre secondaire ET PAS CPD et...patatra les clients XP ne
peuvent à la différence des clients Mac se connecter sur autre chose que
le maître.
Mes clients distants mettaient donc un temps fou à se connecter.
J'ai finalement installé deux maîtres OD avec deux domaines windows
distincts de plus chaque serveur accède aussi à la base LDAP de l'autre
serveur en croisé.
Et ça marche !
Les utilisateurs de n'importe quelle base de compte se connectent sur
n'importe quel domaine.
Les PC eux ne bougeant pas, ils restent authentifiés sur un domaine
fixe.
L'intérêt colossal est l'indépendance des sites et la tolérance d'un
site sur les pannes de l'autre site.
Il n'y a pas d'équivalent sous Windows de deux domaines indépendants qui
s'échangent les comptes (ou j'ai pas trouvé).
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
laurent.pertois
Patrick ESNAULT wrote:
Puis j'avais installé deux Xserves en remplacement, l'un maître OpenDir ET CPD l'autre secondaire ET PAS CPD et...patatra les clients XP ne peuvent à la différence des clients Mac se connecter sur autre chose que le maître. Mes clients distants mettaient donc un temps fou à se connecter.
Yep, pas glop, pour l'instant Mac OS X Server ne propose pas de devenir un BDC (Backup Domain Controler), ça doit arriver en 10.4, il est temps.
J'ai finalement installé deux maîtres OD avec deux domaines windows distincts de plus chaque serveur accède aussi à la base LDAP de l'autre serveur en croisé.
Et ça marche !
Il n'y a pas de raison que ça ne fonctionne pas mais ça t'oblige quand même à maintenir deux bases utilisateur, un peu lourd à mon goût, mais ça n'est pas ta faute, cela dit. Alors que ton second site aurait pu être Réplique Open Directory et BDC.
Les utilisateurs de n'importe quelle base de compte se connectent sur n'importe quel domaine.
Normal. Par contre il va falloir que tu joues avec Kerberos pour que ça fonctionne parfaitement.
Les PC eux ne bougeant pas, ils restent authentifiés sur un domaine fixe.
L'intérêt colossal est l'indépendance des sites et la tolérance d'un site sur les pannes de l'autre site.
Mmmmm, oui et non, si un site tombe, les utilisateurs déclarés sur ce site ne pourront pas être authentifiés à moins de les dupliquer complètement sur l'autre site, lourd.
Il n'y a pas d'équivalent sous Windows de deux domaines indépendants qui s'échangent les comptes (ou j'ai pas trouvé).
Jamais cherché, même en Active Directory ?
-- Politically Correct Unix - UTILITIES The "touch" command has been removed from the standard distribution due to its inappropriate use by high-level managers.
Patrick ESNAULT <patrick.noxmail.esnault@cfd.noxmail.fr> wrote:
Puis j'avais installé deux Xserves en remplacement, l'un maître OpenDir
ET CPD l'autre secondaire ET PAS CPD et...patatra les clients XP ne
peuvent à la différence des clients Mac se connecter sur autre chose que
le maître.
Mes clients distants mettaient donc un temps fou à se connecter.
Yep, pas glop, pour l'instant Mac OS X Server ne propose pas de devenir
un BDC (Backup Domain Controler), ça doit arriver en 10.4, il est temps.
J'ai finalement installé deux maîtres OD avec deux domaines windows
distincts de plus chaque serveur accède aussi à la base LDAP de l'autre
serveur en croisé.
Et ça marche !
Il n'y a pas de raison que ça ne fonctionne pas mais ça t'oblige quand
même à maintenir deux bases utilisateur, un peu lourd à mon goût, mais
ça n'est pas ta faute, cela dit. Alors que ton second site aurait pu
être Réplique Open Directory et BDC.
Les utilisateurs de n'importe quelle base de compte se connectent sur
n'importe quel domaine.
Normal. Par contre il va falloir que tu joues avec Kerberos pour que ça
fonctionne parfaitement.
Les PC eux ne bougeant pas, ils restent authentifiés sur un domaine
fixe.
L'intérêt colossal est l'indépendance des sites et la tolérance d'un
site sur les pannes de l'autre site.
Mmmmm, oui et non, si un site tombe, les utilisateurs déclarés sur ce
site ne pourront pas être authentifiés à moins de les dupliquer
complètement sur l'autre site, lourd.
Il n'y a pas d'équivalent sous Windows de deux domaines indépendants qui
s'échangent les comptes (ou j'ai pas trouvé).
Jamais cherché, même en Active Directory ?
--
Politically Correct Unix - UTILITIES
The "touch" command has been removed from the standard distribution due
to its inappropriate use by high-level managers.
Puis j'avais installé deux Xserves en remplacement, l'un maître OpenDir ET CPD l'autre secondaire ET PAS CPD et...patatra les clients XP ne peuvent à la différence des clients Mac se connecter sur autre chose que le maître. Mes clients distants mettaient donc un temps fou à se connecter.
Yep, pas glop, pour l'instant Mac OS X Server ne propose pas de devenir un BDC (Backup Domain Controler), ça doit arriver en 10.4, il est temps.
J'ai finalement installé deux maîtres OD avec deux domaines windows distincts de plus chaque serveur accède aussi à la base LDAP de l'autre serveur en croisé.
Et ça marche !
Il n'y a pas de raison que ça ne fonctionne pas mais ça t'oblige quand même à maintenir deux bases utilisateur, un peu lourd à mon goût, mais ça n'est pas ta faute, cela dit. Alors que ton second site aurait pu être Réplique Open Directory et BDC.
Les utilisateurs de n'importe quelle base de compte se connectent sur n'importe quel domaine.
Normal. Par contre il va falloir que tu joues avec Kerberos pour que ça fonctionne parfaitement.
Les PC eux ne bougeant pas, ils restent authentifiés sur un domaine fixe.
L'intérêt colossal est l'indépendance des sites et la tolérance d'un site sur les pannes de l'autre site.
Mmmmm, oui et non, si un site tombe, les utilisateurs déclarés sur ce site ne pourront pas être authentifiés à moins de les dupliquer complètement sur l'autre site, lourd.
Il n'y a pas d'équivalent sous Windows de deux domaines indépendants qui s'échangent les comptes (ou j'ai pas trouvé).
Jamais cherché, même en Active Directory ?
-- Politically Correct Unix - UTILITIES The "touch" command has been removed from the standard distribution due to its inappropriate use by high-level managers.
patrick.noXmail.esnault
J'ai finalement installé deux maîtres OD avec deux domaines windows distincts de plus chaque serveur accède aussi à la base LDAP de l'autre serveur en croisé. Il n'y a pas de raison que ça ne fonctionne pas mais ça t'oblige quand
même à maintenir deux bases utilisateur, un peu lourd à mon goût, mais ça n'est pas ta faute, cela dit. Maintenir une fois (2n) utilisateurs est plus simple que 2 fois (n)
utilisateurs, mais pas tant que cela si il y a une différence entre les utilisateurs deux sites.
Alors que ton second site aurait pu être Réplique Open Directory et BDC. C'est ce que j'avais essayé, mais impossible d'activer un CPD sur une
réplique !
Les utilisateurs de n'importe quelle base de compte se connectent sur n'importe quel domaine. Normal. Par contre il va falloir que tu joues avec Kerberos pour que ça
fonctionne parfaitement. Tu peux détailler ?
Si mon serveur a accès aux deux bases LDAP Kerberos se débrouille, non ?
Sur mon poste client Mac, Kerberos m'a posé une fois une question que je n'ai pas bien comprise et à laquelle j'ai apparement bien répondu :-))
Mais je ne vois pas trop de diysfonctionnement sur les PC sauf peut être que mes files d'imprimantes sur le serveur ne marchent pas encore (c'est probablement autre chose) et que les authentifications croisées sur un autre domaine Windows me pose quelques soucis que je règle à la main en redonnant des mots de passe (mais comme je vais tuer ces domaines dès que le domaine OSX marchera complètement, le problème est secondaire).
L'intérêt colossal est l'indépendance des sites et la tolérance d'un site sur les pannes de l'autre site.
Mmmmm, oui et non, si un site tombe, les utilisateurs déclarés sur ce site ne pourront pas être authentifiés à moins de les dupliquer complètement sur l'autre site, lourd. C'est vrai, mais comme OSX serveur n'autorise qu'un seul contrôleur de
domaine, le problème est le même en pire. Une panne entraîne l'arret des deux sites au lieu d'un seul.
Il n'y a pas d'équivalent sous Windows de deux domaines indépendants qui s'échangent les comptes (ou j'ai pas trouvé). Jamais cherché, même en Active Directory ?
L'origine de ma décision de virer active Directory vient de là. À l'époque j'avais (en Windows) un CPD sur un site et un domaine secondaire avec un autre CPD sur l'autre site. Je pensais avoir ma solution d'indépendance (deux domaines) avec une base d'utilisateurs commune. Puis, à la suite d'une panne j'ai fait venir une SSII qui m'a expliquée que si le CPD du domaine principal tombait en panne, le domaine secondaire mourrait automatiquement dans un compte à rebours imparable. En gros, si le maître meure, l'esclave se suicide de désespoir à force de rester sans nouvelles. ;-((
Qui plus est, un esclave étant fidèle à son maître il ne peut accepter un autre maître en remplacement.
Donc je lui ai demandé de tout casser et de m'implanter un CPD et un CPD secondaire distant.
Il m'a alors expliqué qu'il était obligé d'installer temporairement un troisième serveur pour récupérer la base de compte du site distant avant de fermer le CPD du site distant. Après une journée de tentatives infructueuses, agravé par la lenteur de la liaison VPN entre les sites, il a renoncé et a reformaté mes deux serveurs.
J'ai viré la SSII et je suis en train de virer Active Directory.
Mais même agonisante, la sale bête arrive encore à me mordre...
J'ai finalement installé deux maîtres OD avec deux domaines windows
distincts de plus chaque serveur accède aussi à la base LDAP de l'autre
serveur en croisé.
Il n'y a pas de raison que ça ne fonctionne pas mais ça t'oblige quand
même à maintenir deux bases utilisateur, un peu lourd à mon goût, mais
ça n'est pas ta faute, cela dit.
Maintenir une fois (2n) utilisateurs est plus simple que 2 fois (n)
utilisateurs, mais pas tant que cela si il y a une différence entre les
utilisateurs deux sites.
Alors que ton second site aurait pu
être Réplique Open Directory et BDC.
C'est ce que j'avais essayé, mais impossible d'activer un CPD sur une
réplique !
Les utilisateurs de n'importe quelle base de compte se connectent sur
n'importe quel domaine.
Normal. Par contre il va falloir que tu joues avec Kerberos pour que ça
fonctionne parfaitement.
Tu peux détailler ?
Si mon serveur a accès aux deux bases LDAP Kerberos se débrouille, non ?
Sur mon poste client Mac, Kerberos m'a posé une fois une question que je
n'ai pas bien comprise et à laquelle j'ai apparement bien répondu :-))
Mais je ne vois pas trop de diysfonctionnement sur les PC sauf peut être
que mes files d'imprimantes sur le serveur ne marchent pas encore (c'est
probablement autre chose) et que les authentifications croisées sur un
autre domaine Windows me pose quelques soucis que je règle à la main en
redonnant des mots de passe (mais comme je vais tuer ces domaines dès
que le domaine OSX marchera complètement, le problème est secondaire).
L'intérêt colossal est l'indépendance des sites et la tolérance d'un
site sur les pannes de l'autre site.
Mmmmm, oui et non, si un site tombe, les utilisateurs déclarés sur ce
site ne pourront pas être authentifiés à moins de les dupliquer
complètement sur l'autre site, lourd.
C'est vrai, mais comme OSX serveur n'autorise qu'un seul contrôleur de
domaine, le problème est le même en pire. Une panne entraîne l'arret des
deux sites au lieu d'un seul.
Il n'y a pas d'équivalent sous Windows de deux domaines indépendants qui
s'échangent les comptes (ou j'ai pas trouvé).
Jamais cherché, même en Active Directory ?
L'origine de ma décision de virer active Directory vient de là.
À l'époque j'avais (en Windows) un CPD sur un site et un domaine
secondaire avec un autre CPD sur l'autre site.
Je pensais avoir ma solution d'indépendance (deux domaines) avec une
base d'utilisateurs commune.
Puis, à la suite d'une panne j'ai fait venir une SSII qui m'a expliquée
que si le CPD du domaine principal tombait en panne, le domaine
secondaire mourrait automatiquement dans un compte à rebours imparable.
En gros, si le maître meure, l'esclave se suicide de désespoir à force
de rester sans nouvelles. ;-((
Qui plus est, un esclave étant fidèle à son maître il ne peut accepter
un autre maître en remplacement.
Donc je lui ai demandé de tout casser et de m'implanter un CPD et un CPD
secondaire distant.
Il m'a alors expliqué qu'il était obligé d'installer temporairement un
troisième serveur pour récupérer la base de compte du site distant avant
de fermer le CPD du site distant.
Après une journée de tentatives infructueuses, agravé par la lenteur de
la liaison VPN entre les sites, il a renoncé et a reformaté mes deux
serveurs.
J'ai viré la SSII et je suis en train de virer Active Directory.
Mais même agonisante, la sale bête arrive encore à me mordre...
J'ai finalement installé deux maîtres OD avec deux domaines windows distincts de plus chaque serveur accède aussi à la base LDAP de l'autre serveur en croisé. Il n'y a pas de raison que ça ne fonctionne pas mais ça t'oblige quand
même à maintenir deux bases utilisateur, un peu lourd à mon goût, mais ça n'est pas ta faute, cela dit. Maintenir une fois (2n) utilisateurs est plus simple que 2 fois (n)
utilisateurs, mais pas tant que cela si il y a une différence entre les utilisateurs deux sites.
Alors que ton second site aurait pu être Réplique Open Directory et BDC. C'est ce que j'avais essayé, mais impossible d'activer un CPD sur une
réplique !
Les utilisateurs de n'importe quelle base de compte se connectent sur n'importe quel domaine. Normal. Par contre il va falloir que tu joues avec Kerberos pour que ça
fonctionne parfaitement. Tu peux détailler ?
Si mon serveur a accès aux deux bases LDAP Kerberos se débrouille, non ?
Sur mon poste client Mac, Kerberos m'a posé une fois une question que je n'ai pas bien comprise et à laquelle j'ai apparement bien répondu :-))
Mais je ne vois pas trop de diysfonctionnement sur les PC sauf peut être que mes files d'imprimantes sur le serveur ne marchent pas encore (c'est probablement autre chose) et que les authentifications croisées sur un autre domaine Windows me pose quelques soucis que je règle à la main en redonnant des mots de passe (mais comme je vais tuer ces domaines dès que le domaine OSX marchera complètement, le problème est secondaire).
L'intérêt colossal est l'indépendance des sites et la tolérance d'un site sur les pannes de l'autre site.
Mmmmm, oui et non, si un site tombe, les utilisateurs déclarés sur ce site ne pourront pas être authentifiés à moins de les dupliquer complètement sur l'autre site, lourd. C'est vrai, mais comme OSX serveur n'autorise qu'un seul contrôleur de
domaine, le problème est le même en pire. Une panne entraîne l'arret des deux sites au lieu d'un seul.
Il n'y a pas d'équivalent sous Windows de deux domaines indépendants qui s'échangent les comptes (ou j'ai pas trouvé). Jamais cherché, même en Active Directory ?
L'origine de ma décision de virer active Directory vient de là. À l'époque j'avais (en Windows) un CPD sur un site et un domaine secondaire avec un autre CPD sur l'autre site. Je pensais avoir ma solution d'indépendance (deux domaines) avec une base d'utilisateurs commune. Puis, à la suite d'une panne j'ai fait venir une SSII qui m'a expliquée que si le CPD du domaine principal tombait en panne, le domaine secondaire mourrait automatiquement dans un compte à rebours imparable. En gros, si le maître meure, l'esclave se suicide de désespoir à force de rester sans nouvelles. ;-((
Qui plus est, un esclave étant fidèle à son maître il ne peut accepter un autre maître en remplacement.
Donc je lui ai demandé de tout casser et de m'implanter un CPD et un CPD secondaire distant.
Il m'a alors expliqué qu'il était obligé d'installer temporairement un troisième serveur pour récupérer la base de compte du site distant avant de fermer le CPD du site distant. Après une journée de tentatives infructueuses, agravé par la lenteur de la liaison VPN entre les sites, il a renoncé et a reformaté mes deux serveurs.
J'ai viré la SSII et je suis en train de virer Active Directory.
Mais même agonisante, la sale bête arrive encore à me mordre...